Web蔵書検索システムをダウンさせたとして、悪意のない利用者が5月に逮捕された愛知県岡崎市立中央図書館をめぐり、新たな個人情報流出事件が発生した。

　同図書館は、三菱電機インフォメーションシステムズ（MDIS）の図書館向けパッケージ「MELIL（メリル）/CS」を採用する。MDISは同パッケージを、岡崎市立中央図書館の利用者情報163人分を含めた状態で、他の37カ所の図書館に販売した。その結果、他の図書館のシステムを通じて、利用者情報がインターネットに流出した。

　パッケージに顧客情報が紛れ込む前代未聞の事件の原因と、情報流出の経緯はこうだ。MDISはMELIL/CSのパッケージを開発する際に、岡崎市立中央図書館で稼働するASP（Active Server Pages）形式のスクリプトファイルやデータを使った。この作業に問題があり、同図書館における2005年6月末時点の延滞者データが、「Microsoft Access」のファイルとしてパッケージに混入した。

　これらのデータは、宮崎県えびの市と福岡県篠栗町の図書館システムを通じてインターネットに流出した。両図書館はいずれもMELIL/CSのユーザーで、同システムの運用・保守を千代田興産に委託している。同社のFTPサーバ ーが流出元となった。7月26日から8月4日にかけて、同社はFTPサーバーを、パスワードなしでアクセス可能な状態にしていた。FTPサーバー上のファイル名は、グーグルで検索可能になっていた。

　千代田興産のFTPサーバーを通じて、MELIL/CSのスクリプトも流出した。スクリプトを解析した専門家からは、先の「事件」との関連で、MELIL/CSの品質を問題視する声が上がっている。事件とは、クローラーを使って岡崎市立中央図書館のシステムをダウンさせたとして、図書館利用者が逮捕されたことである（表）。

表●MDISの図書館向けパッケージ「MELIL/CS」に関する一連の事件

[画像のクリックで拡大表示]

　産業技術総合研究所の高木浩光主任研究員は、「MELIL/CSにはDB接続方式に問題があり、1秒に1〜2回程度という常識的なクロ ーラー（情報自動収集プログラム）からのアクセスにすら耐えられない構造だった」と指摘する。

　高木氏は次のように続ける。「MELIL/CSにコネクションプーリングなどの適切なDB接続方式が実装されていれば、そもそも事件は起きなかった」。

　MDISは本誌の問い合わせに、「個人情報の流出については、ライブラリ管理などに不十分な点があった」（広報）と責任を認める。一方で、処理性能については「2005年に想定した処理のピークに耐えられるように、設計・構築した。製品に欠陥があるとは考えていない」（同）と回答する。